Konfigurera automatisk logguppladdning för kontinuerliga rapporter
Med logginsamlare kan du enkelt automatisera logguppladdningen från nätverket. Logginsamlaren körs i nätverket och tar emot loggar via Syslog eller FTP. Varje logg bearbetas, komprimeras och överförs automatiskt till portalen. FTP-loggar laddas upp till Microsoft Defender for Cloud Apps när filen har slutfört FTP-överföringen till logginsamlaren. För Syslog skriver logginsamlaren de mottagna loggarna till disken. Sedan laddar insamlaren upp filen till Defender for Cloud Apps när filstorleken är större än 40 kB.
När en logg har laddats upp till Defender for Cloud Apps flyttas den till en säkerhetskopieringskatalog. Säkerhetskopieringskatalogen lagrar de senaste 20 loggarna. När nya loggar tas bort tas de gamla bort. När logginsamlarens diskutrymme är fullt släpper logginsamlaren nya loggar tills det har mer ledigt diskutrymme (detta bör inte ske om kraven uppfylls korrekt). Du får en varning på fliken Logginsamlare i inställningarna för att ladda upp loggar automatiskt när detta inträffar.
Innan du konfigurerar automatisk loggfilssamling kontrollerar du att loggen matchar den förväntade loggtypen. Du vill se till att Defender for Cloud Apps kan parsa din specifika fil. Mer information finns i Använda trafikloggar för molnidentifiering.
Obs!
- Defender for Cloud Apps har stöd för vidarebefordran av loggar från SIEM-servern till logginsamlaren, förutsatt att loggarna vidarebefordras i sitt ursprungliga format. Vi rekommenderar dock starkt att du integrerar logginsamlaren direkt med brandväggen och/eller proxyn.
- Logginsamlaren komprimerar data innan de laddas upp. Den utgående trafiken på logginsamlaren blir 10 % av storleken på de trafikloggar som den tar emot.
- Om logginsamlaren stöter på problem får du en avisering när data inte har tagits emot på 48 timmar.
Förhandskrav
- Diskutrymme 250 GB
- CPU-kärnor: 2
- CPU-arkitektur: Intel® 64 och AMD 64
- RAM: 4 GB
- Ange brandväggen enligt beskrivningen i Nätverkskrav
Obs!
Om du har en befintlig logginsamlare och vill ta bort den innan du distribuerar den igen, eller om du bara vill ta bort den, kör du följande kommandon:
docker stop <collector_name>
docker rm <collector_name>
Obs!
Om du vill installera en ny version av logginsamlaren måste du stoppa logginsamlaren, ta bort den aktuella avbildningen och installera den nya.
Prestanda för logginsamlare
Logginsamlaren kan hantera loggkapacitet på upp till 50 GB per timme. De viktigaste flaskhalsarna i logginsamlingsprocessen är:
- Nätverksbandbredd – Din nätverksbandbredd avgör logguppladdningshastigheten.
- I/O-prestanda för den virtuella datorn – Avgör hur snabbt loggar skrivs till logginsamlarens disk. Logginsamlaren har en inbyggd säkerhetsmekanism som övervakar hur snabbt loggarna tas emot och jämför den med uppladdningshastigheten. Vid överbelastning börjar logginsamlaren släppa loggfiler. Om konfigurationen vanligtvis överskrider 50 GB per timme rekommenderar vi att du delar upp trafiken mellan flera logginsamlare.
Relaterat innehåll
Logginsamlaren stöder distributionsläget för containrar . Mer information finns i:
- Konfigurera automatisk logguppladdning med lokal Docker i Windows
- Konfigurera automatisk logguppladdning med Podman
- Konfigurera automatisk logguppladdning med Docker i Azure
- Konfigurera automatisk logguppladdning med Docker i Azure Kubernetes Service (AKS)